-
Junior Member
- Вес репутации
- 53
Вредоносное ПО вымогающее деньги через SMS.
Два вопроса к тем кто в теме. Тема - вредоносное ПО вымогающие деньги через SMS
- На нынешнем этапе своего развития, это вредоносное ПО поражает систему исключительно из под учетной записи с правами администратора или уже корректно работает под ограниченной учетной записью?
- Наличие этого вредоносного ПО на ПК жертвы говорит о полной безграмотности администратора в плане безопасности?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Ограниченную учётку тоже может заразить. Правда, соседние остануся чистыми.
2. Не уверен, что о такой уж полной. О некоторой расслабленности и беспечности - пожалуй, да.
-
-
Сообщение от
pig
1. Ограниченную учётку тоже может заразить. Правда, соседние остануся чистыми.
Про какого троянца вы говорите?
-
-
Про винлоки вообще. Есть же и такая разновидность среди банды акселераторов?
-
-
Сообщение от
pig
Про винлоки вообще.
Если пишется в %windir% разве заинсталится?
-
-
Да есть там какой-то, пишется, куда получится.
-
-
Сообщение от
pig
2. Не уверен, что о такой уж полной. О некоторой расслабленности и беспечности - пожалуй, да.
согласна.. еще это говорит о беспечности пользователей и возможно о слабой работе админа с пользователями, раз его пользователи клацают куда попало
Сообщение от
WinbowsXP
1. На нынешнем этапе своего развития, это вредоносное ПО поражает систему исключительно из под учетной записи с правами администратора или уже корректно работает под ограниченной учетной записью?
у меня под урезанной учеткой sms-вымогатель нормально не поставился и не заработал.
речь конкретно об этом вирусе
Последний раз редактировалось Юльча; 06.01.2010 в 21:50.
-
Сообщение от
pig
Да есть там какой-то, пишется, куда получится.
Хочется знать его название (kaspersky), если можно
Ну или по Dr. Web...
-
-
-
-
Закрывайте от изменений раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и ему подобные.
-
Сообщение от
valho
Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров
ну вот, есть чем потестировать заражение с ограниченной учетки
кстати, я рекламу практически не вижу - банерорезалки хорошо работают
-
Я однажды подхватил троян Winlock, который записал себя в C:\Documents and Settings\<USER>\Application Data\<пять случайных букв>.exe и HCKU Run под именем "winsock".
Такой наверно запустился бы и под ограниченной записью, но под записью администратора нормальная работа компьютера бы продолжалась.
Добавлено через 49 минут
Сообщение от
valho
Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров
А я что-то никакой рекламы там не вижу...
Добавлено через 21 минуту
Сообщение от
Юльча
речь конкретно об этом вирусе
Нашел этот сайт (с вирусом). Там файл "install_flash_player.exe". Ставится в TEMP как "kui1.tmp". Но думаю он прописывается в Userinit (не смотрел, но аналогичные вирусы делали так). Так что под ограниченной учетной записью он скорее всего умрет после перезагрузки.
Еще в ходе работы вирус запускает "route.exe -f"
Последний раз редактировалось bolshoy kot; 07.01.2010 в 17:57.
Причина: Добавлено
-
-
Чтобы блокер установился, ему необходимо прописаться в автозапуск, установить модуль противодействия, заблокировать сис. утилиты типа Диспетчер задач, некоторым установить свой драйвер в систему и т.д.
Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему. windir заркыт от изменений, поэтому максимум что сможет сделать вредонос,- прописаться в temp?, оттуда в автозапуск, запретил изменения run пользователя, теперь блокеры не ставятся. При разрешении run блокер установился, но снялся диспетрером задач, была возможность переключения задач Alt+Tab, удалился очисткой временных файлов без проблем, другие учетки не заразились. Вывод ограниченная учетка защищает нормально, а при дополнительной настройке отлично. Не заразился под operoй и moziloй.
-
Юльча, дайте адрес сайта с этим вирусом.
-
Сообщение от
bolshoy kot
Юльча, дайте адрес сайта с этим вирусом.
Поддерживаю. Дайте пожалуйста ссылку для экспериментов.
-
Юльча
плиз в пм адресок сайта с вирусякой
тоже хочу поиграться на виртуалке
-
Последний раз редактировалось Юльча; 08.01.2010 в 15:41.
Причина: Добавлено
-
У меня вопрос по поводу "Update_Flash-Player-10_build.9102.exe"
А при каких условиях появляется окно про SMS? А то я запустил этот файл (на виртуальном ПК), а реакции никакой. Время на 5 часов вперед переводил.
Последний раз редактировалось bolshoy kot; 08.01.2010 в 17:13.
-
на одной виртуалке вообще не запустился, выдавал ошибку.
поставила с нуля винду, запустила вирь, перезагрузила винду и после запуска пары приложений (ie и avz) вылезло окно-вымогатель